ChatGPT社内利用ルール策定テンプレート：情報漏洩を防ぐ10のチェック項目

社員がChatGPTを使い始めているのに、社内のルールが追いついていない——そんな状況に頭を抱えている方は多いのではないでしょうか。

「情報漏洩が心配だから禁止したい。でも禁止したら、現場から反発される。競合他社はAIを活用して生産性を上げているのに、うちだけ出遅れてしまう」。このジレンマは、多くの情シス担当者・総務担当者が直面しているリアルな悩みです。

実は、この問題を「禁止か許可か」の二択で考えようとすることが、行き詰まりの根本原因です。ChatGPTの社内利用ルールは、「何をしてはいけないか」だけでなく「何はしてもいいか」を明確にすることで、安全と活用を同時に実現できます。

本記事では、ChatGPT社内利用ルールを策定する際に確認すべき10のチェック項目を、各項目の「なぜ必要か」という解説付きでご紹介します。さらに、そのまま社内規程のドラフトとして使えるテンプレート（記入例付き）も掲載していますので、今日中に第一稿を作ることができます。

なぜ今、ChatGPT社内利用ルールが必要か

ChatGPTに入力した情報はどこへいくのか

ChatGPT（無料プラン・有料のPlusプラン）では、デフォルト設定のままだと入力したデータがOpenAIのモデル改善に使用される可能性があります。つまり、社員が業務上の機密情報をChatGPTに入力すると、その情報が将来的なAIの学習データとして利用されるリスクがあります。

OpenAIの公式情報によれば、ユーザーは設定から「Chat history & training」をオフにするオプトアウト設定で、入力データの学習利用を拒否できます（OpenAI Help Center「モデルのパフォーマンスを向上させるためのデータの使用方法」）。ただし、社員一人ひとりがこの設定を行っているかは確認できません。

また、ChatGPT TeamプランとEnterpriseプランでは、OpenAI側でデフォルトからモデル学習へのデータ利用を行わない運用となっており、個人設定に依存しない形でデータ保護が担保されています。

放置リスクの実例

社内ルールがない状態での放置は、実際にインシデントを引き起こしています。

2023年3月、韓国のサムスン電子では、エンジニアがChatGPTにソースコードや会議で話された新製品規格情報・人事評価情報などを入力したことによる機密情報漏洩が3件立て続けに発生しました（出典: 各種報道、2023年5月）。同社はこれを受けてChatGPTの社内利用を即時禁止しました。

日本においても、2023年には700件以上の日本アカウントがダークウェブで流通していたことをセキュリティ研究機関が報告しています（出典: シンガポールのセキュリティ会社Group-IBの報告、2023年）。

こうした事例は対岸の火事ではありません。「まだ社内でそういったことは起きていない」という段階こそ、ルールを整備する最適なタイミングです。

「禁止」か「活用」か——落としどころの見つけ方

全面禁止が招く3つの問題

「リスクがあるから禁止」という判断は一見シンプルに見えますが、以下の3つの問題を引き起こします。

1. シャドーIT化 禁止令を出しても、業務効率化のメリットを知っている社員は個人のスマートフォンや自宅のPCからChatGPTを使い続けます。会社が把握できない場所で利用が続くため、かえってリスクが高まります。

2. 競争力の低下 他社がAIを活用して提案書や議事録作成などの業務を効率化している中、自社だけ禁止していると生産性格差が広がります。採用においても、AIツールが使える環境かどうかはエンジニアや若手人材の判断基準になりつつあります。

3. 現場の信頼低下 「なぜ禁止なのか」の説明なしに禁止令が出ると、社員は「会社は時代遅れだ」「自分たちを信頼していない」と感じ、組織へのエンゲージメントが下がります。

情報の機密レベルで許可範囲を設計する

全面禁止ではなく、「情報の機密レベルに応じて利用可否を分ける」設計が実用的です。以下のような3段階の分類が参考になります。

レベル	分類基準の例	ChatGPT利用
レベル1（機密）	顧客の個人情報、未公開の財務情報、契約内容、ソースコード	入力禁止
レベル2（社外秘）	社内の戦略情報、採用情報、未発表の製品情報	上長承認後のみ可（入力前に機密情報を除去）
レベル3（一般情報）	公開済み情報の整理、一般的な文書作成補助、アイデア出し	自由に利用可

SCROLL→

この分類表を「チェック項目3：入力禁止情報の定義」の中核として規程に盛り込むことで、社員は「何を入力してはいけないか」を具体的に判断できるようになります。

ChatGPT社内利用ルール策定の10のチェック項目

以下の10項目を確認することで、情報漏洩リスクを抑えながらChatGPTを活用できる社内ルールの骨格が整います。各項目に「なぜ必要か（背景・リスク）」を記載しているので、経営陣や関係部署への説明資料としてもご活用ください。

チェック項目1：利用目的・対象業務の明確化

なぜ必要か: 「業務に使っていい」という漠然な許可だけでは、社員ごとに解釈が異なり「この用途はOKかNG か?」の問い合わせが情シスに集中します。また、明文化されていない用途でのトラブルが発生した際に責任の所在が曖昧になります。

設定例:

本規程に基づきChatGPTを利用できる業務は以下のとおりとする。

• 文書・メール・報告書の草稿作成
• アイデア出し・ブレインストーミングの補助
• 公開情報の要約・翻訳補助
• プログラムコードのレビュー補助（第4条の入力制限を遵守のうえ）

チェック項目2：利用可能なAIツールの限定

なぜ必要か: ChatGPT以外にも多数の生成AIサービスが存在します。ツールごとにセキュリティ基準・データ保持ポリシーが異なるため、「生成AIは何でもOK」という運用は管理できません。認可ツールを明示することで、許可されていないツールへの無断利用を防げます。

設定例:

業務に使用できるAIツールは以下の認可ツールのみとする。

• ChatGPT（OpenAI社）：無料プラン・Plusプラン・Teamプラン
• ※新たなAIツールの利用を希望する場合は、情報システム部門に事前申請し承認を得ること

チェック項目3：入力禁止情報の定義（機密レベル分類）

なぜ必要か: このチェック項目が社内ルール策定の最重要ポイントです。社員が「どの情報を入力してはいけないか」を瞬時に判断できるよう、具体的な入力禁止情報をリスト化する必要があります。

設定例:

以下に該当する情報はChatGPTへの入力を禁止する。

• 顧客・取引先の個人情報（氏名・住所・電話番号・メールアドレス等）
• 未公開の財務情報・売上データ・予算計画
• 社外秘・機密扱いの契約書・議事録・企画書
• 自社のソースコード・システム設計情報
• 採用・人事・評価に関する個人情報
• その他、社内の機密情報取扱規程でレベル1・2に分類される情報

チェック項目4：学習オプトアウト設定の義務化

なぜ必要か: ChatGPTの無料プラン・Plusプランは、デフォルト設定では入力データがモデル改善に使用される場合があります。設定画面から「Chat history & training」をオフにすることで学習利用をオプトアウトできますが、社員全員が自主的に設定することは期待できません。会社としてオプトアウト設定を義務化・確認する仕組みが必要です。

設定例:

ChatGPTを業務利用する際は、以下の設定を必須とする。

• 設定（Settings）→「Data Controls」→「Improve the model for everyone」をオフにすること
• または「Temporary Chat」モードを利用すること
• なお、ChatGPT TeamプランおよびEnterpriseプランでは上記設定は不要

チェック項目5：アカウント管理（共有禁止・会社メール使用）

なぜ必要か: 個人メールアドレスで作成されたChatGPTアカウントを業務利用すると、会社が利用実態を把握できません。退職時のアクセス制御も困難になります。会社のメールアドレスを使用させることで、管理責任を明確化できます。

設定例:

• 業務でChatGPTを使用する場合は、会社付与のメールアドレスでアカウントを作成すること
• 同一アカウントの複数人での共有利用は禁止する
• 退職または業務上の使用が不要になった場合は、情報システム部門に速やかに報告すること

チェック項目6：出力内容のファクトチェック義務

なぜ必要か: ChatGPTは事実と異なる情報（ハルシネーション）を自信を持って出力することがあります。生成された文章や数値を無確認で社外に提出すると、企業の信頼を損なうリスクがあります。

設定例:

• ChatGPTの出力内容をそのまま成果物として使用することを禁止する
• 社外提出資料・報告書に使用する場合は、担当者が情報源を確認し内容を検証すること
• 統計データ・法的情報・医療情報など専門性が高い分野では、必ず一次情報源を確認すること

チェック項目7：著作権・二次利用の取り扱い

なぜ必要か: ChatGPTの出力には著作権保護されたコンテンツが含まれている可能性があります。生成されたコードや文章を無断で商業利用すると、著作権侵害のリスクがあります。また、AIが生成したコンテンツの著作権帰属については法整備が進行中であり、利用実態の記録が重要です。

設定例:

• ChatGPTの出力を社外公開・商業利用する場合は、著作権侵害のリスクを検討し、必要に応じて法務部門に相談すること
• AIが生成した文章・コードを他者の著作物と混同して使用しないよう注意すること
• 生成物を公開する際はAI生成を含む旨を適切に開示する（業界・取引先の要請がある場合）

チェック項目8：利用ログの記録・保管方針

なぜ必要か: 万が一情報漏洩が発生した際に、「誰が・いつ・何を入力したか」の記録がなければ原因の特定や再発防止が困難です。また、社員が「記録されている」という認識を持つことが、不適切な利用の抑止力になります。

設定例:

• ChatGPT Teamプランを利用する場合は、管理者画面から利用ログを定期的に確認する
• 無料プラン・Plusプランを利用する場合は、各自がチャット履歴を削除しないようにし、情報インシデント発生時に情報システム部門の求めに応じてログを提出できるようにする
• 利用ログの保管期間は〔○〕年とする

チェック項目9：違反時の対応と懲戒規定への連携

なぜ必要か: ルールに違反した場合の罰則規定がなければ、「守らなくてもいい」という空気が生まれます。既存の情報セキュリティ規程や就業規則と連携させることで、ルールに実効性を持たせられます。

設定例:

• 本規程に違反した場合、就業規則第〔○〕条（情報セキュリティ違反に関する懲戒規定）が適用される
• 違反を発見した社員は、速やかに情報システム部門または上長に報告すること
• 重大な情報漏洩が発生した場合は、本社関係部門・法務・経営陣に速やかに報告し、初動対応を行う

チェック項目10：ルールの見直し・改訂サイクル

なぜ必要か: 生成AI技術と関連法規（AI規制法・個人情報保護法の改正等）は急速に変化しています。作成時点のルールを維持し続けると、数ヶ月後には時代遅れになる可能性があります。定期的な見直しを明文化することで、形骸化を防げます。

設定例:

• 本規程は年1回以上の定期見直しを行う。担当部門は情報システム部門とする
• OpenAI社の利用規約改定、関連法規の改正、または重大なセキュリティインシデントが発生した場合は、速やかに臨時改訂を行う
• 規程改訂時は全社員への周知を行い、必要に応じて研修・説明会を実施する

そのまま使えるテンプレート（記入例付き）

テンプレートの使い方と注意点

以下のテンプレートは、10のチェック項目を規程形式にまとめたものです。〔 〕内は自社の状況に合わせて修正してください。法的拘束力を持つ規程として運用する場合は、法務部門または弁護士への相談をお勧めします。

また、このテンプレートはChatGPTの仕様変更に伴い改訂が必要になる場合があります。最初から完璧なルールを目指さず、まず「ドラフトを作って運用を始めること」を優先してください。

ChatGPT利用規程テンプレート（10条構成）

〔会社名〕 ChatGPT利用規程

制定日：〔YYYY年MM月DD日〕
最終改訂日：〔YYYY年MM月DD日〕
管理部門：〔情報システム部門 / 総務部門〕

第1条（目的）

本規程は、〔会社名〕（以下「当社」）における ChatGPT（OpenAI社）の業務利用に関するルールを定め、情報漏洩リスクの防止と安全・効果的な活用を両立することを目的とする。

第2条（適用範囲）

本規程は、当社の全役員・従業員（正社員・契約社員・派遣社員・アルバイトを含む）に適用する。

第3条（利用可能なツール）

業務に利用できるAIツールは以下の認可ツールに限る。新たなAIツールの利用を希望する場合は、〔情報システム部門〕に事前申請し承認を得ること。

• ChatGPT（OpenAI社）：無料プラン・Plusプラン・Teamプラン
• 〔その他認可ツールを追記〕

第4条（利用目的）

ChatGPTを業務利用できる用途は以下のとおりとする。

1. 文書・メール・報告書の草稿作成
2. アイデア出し・ブレインストーミングの補助
3. 公開情報の要約・翻訳補助
4. プログラムコードのレビュー補助（第5条の入力制限を遵守のうえ）
5. 〔自社で許可する用途を追記〕

第5条（入力禁止情報）

以下の情報はChatGPTへの入力を禁止する。

1. 顧客・取引先の個人情報（氏名・住所・電話番号・メールアドレス等）
2. 未公開の財務情報・売上データ・予算計画
3. 社外秘・機密扱いの契約書・議事録・企画書の原文
4. 自社のソースコード・システム設計情報
5. 採用・人事・評価に関する個人情報
6. その他、社内の情報管理規程で機密・社外秘に分類される情報

第6条（セキュリティ設定）

ChatGPTを業務利用する際は、以下のセキュリティ設定を義務とする。

1. 無料プラン・Plusプランを利用する場合：設定（Settings）→「Data Controls」→「Improve the model for everyone」をオフにすること、または「Temporary Chat」を利用すること
2. Teamプランを利用する場合：上記設定は不要。ただし管理者は利用ログを定期的に確認すること

第7条（アカウント管理）

1. 業務でChatGPTを利用する場合は、会社付与のメールアドレスでアカウントを作成すること
2. 同一アカウントを複数名で共有することを禁止する
3. 退職または業務上の使用が不要になった際は、〔情報システム部門〕に速やかに報告すること

第8条（出力内容の取り扱い）

1. ChatGPTの出力をそのまま成果物として使用することを禁止する。担当者は内容の正確性・適切性を確認してから利用すること
2. 社外提出資料に使用する場合は、情報源を確認すること
3. ChatGPTの出力を社外公開・商業利用する場合は、著作権侵害のリスクを確認し、必要に応じて法務部門に相談すること

第9条（違反時の対応）

1. 本規程に違反した場合、就業規則第〔○〕条（情報セキュリティ違反）が適用される
2. 違反を発見した社員は、速やかに〔情報システム部門 / 上長〕に報告すること
3. 情報漏洩が発生・疑われる場合は、直ちに〔情報システム部門〕および経営陣に報告し、指示に従うこと

第10条（規程の見直し）

本規程は年1回以上、〔情報システム部門〕が見直しを行う。OpenAI社の利用規約改定、関連法規の改正、または重大インシデント発生時は速やかに臨時改訂を行い、全社員に周知する。

附則
本規程は〔YYYY年MM月DD日〕から施行する。

策定後の運用ポイント

社員への周知・教育の進め方

ルールを作成したら、社員に「知らなかった」では済まない状況を作る必要があります。以下の方法を組み合わせて周知・教育を行いましょう。

周知方法の優先順位:

1. 全社メールでの一斉通知: 規程の施行日・主要ポイント（特に入力禁止情報のリスト）・問い合わせ窓口を明記する
2. 社内ポータル・イントラネットへの掲載: 規程の本文とFAQを掲載し、いつでも参照できる状態にする
3. 部門別の説明会または動画: 初回のみ実施し、質疑応答の時間を設ける。録画して後から視聴できる形にするとよい

周知の際に「禁止事項のリスト」だけを伝えると反発を招きやすいため、「これだけは守れば、これだけ使える」というポジティブなメッセージも合わせて伝えることが重要です。

ルールの定期見直しタイミングと改訂フロー

生成AI技術の変化は速く、半年ごとに規程の見直しが必要になる場面もあります。以下のタイミングを目安に定期確認を行いましょう。

定期確認のトリガー:

• 年1回の定期改訂: 年度初め（4月）や期初に担当部門が一通り確認
• OpenAI社の利用規約改定時: 変更点を確認し、自社規程への影響を評価する
• 関連法規の改正時: 個人情報保護法の改正、EU AI法等の動向をウォッチする
• インシデント発生後: 社内で違反事例が発生した場合、ルールの抜け穴を特定して補強する

改訂の際は「何を変えたか」の変更履歴を規程文書に記録しておくと、社員への説明や監査対応に役立ちます。

まとめ

ChatGPT社内利用ルール策定の10のチェック項目を振り返りましょう。

1. 利用目的・対象業務の明確化: 何のために、どんな業務に使えるかを明文化する
2. 利用可能なAIツールの限定: 認可ツールを指定し、野良ツールへの流出を防ぐ
3. 入力禁止情報の定義: 機密レベルで分類し、社員が瞬時に判断できるリストを作る
4. 学習オプトアウト設定の義務化: 無料プラン利用者には設定の徹底を求める
5. アカウント管理: 会社メール利用・共有禁止で管理責任を明確化する
6. ファクトチェック義務: 生成物をそのまま成果物にしない習慣を定める
7. 著作権・二次利用の取り扱い: 外部公開前の確認フローを定める
8. 利用ログの記録・保管: インシデント時のトレーサビリティを確保する
9. 違反時の対応と懲戒規定への連携: 実効性のあるルールにする
10. ルールの見直し・改訂サイクル: 技術変化に追従できる仕組みを作る

「ChatGPTを禁止するか活用するか」ではなく、「どこで線を引くか」を明確にすることが、安全と生産性を両立する鍵です。本記事のテンプレートを参考に、まずは今日中に第一稿を作成することをお勧めします。完璧なルールを一から設計しようとせず、「運用しながら改善していく」姿勢が、変化の速いAI活用時代には最も現実的なアプローチです。